DSGVO vs. E-Privacy VO vs. Online-Marketing

Philipp Amann

• Datenschutzbeauftragter der Innsbrucker Kommunalbetriebe AG

• Zertifizierter DSB nach Austrian Standards

• Consultant für IT-Security, Awareness, DSGVO Umsetzung,

Data Protection und ISMS/DSMS Implementierung.

IKB | 08.11.2018 | Seite 3

Bitte, woher haben Sie meine Daten?

…und was haben Sie bitte dafür bezahlt?

Was ändert(e) sich jetzt wirklich mit der DSGVO?

E-Privacy vs. DSGVO

Wo liegen die echten Gefahren für Unternehmen?

Was darf ich überhaupt noch tun?

Woher, bitte, haben Sie meine Daten?

IKB | 08.11.2018 | Seite 4

IKB | 08.11.2018 | Seite 5

Kostenlos

IKB | 08.11.2018 | Seite 6

?

IKB | 08.11.2018 | Seite 7

Quelle: Financial Times „How much is your personal data worth? 2013

“

….und was, bitte, hat man Ihnen dafür gezahlt?

IKB | 08.11.2018 | Seite 8

Joe

Männlich

23

New York

Quelle Süddeutsche Zeitung 6. Juni 2018

IKB | 08.11.2018 | Seite 9

Fitnesstracker und Co…

IKB | 08.11.2018 | Seite 10

Welcome, EUDSGVO!Wir haben Dich schon erwartet…

IKB | 08.11.2018 | Seite 11

Beschlossen 27.04.2016, gültig ab 25.05.2018

Ziel:

• „One Standard for All“ - EU

• Eindämmung der ungeregelten Datensammlung

• Wiedererlangen der Kontrolle über die eigenen Daten

Strafen bis zu 20 Millionen Euro bzw. 4 % des weltweiten Konzernumsatzes sind möglich.

Personenbezogene Daten

Alle Daten, welche sich auf eine natürliche

Person beziehen.

• Name, Adresse, Telefonnummer

• E-Mail Adresse

• Schuhgröße

• Haarfarbe

• Hobbies

• Finanzielle Verhältnisse

• IP Adresse, bevorzugter Browser

• Cookies

• Bewegungsdaten (GPS Location)

• …

Besondere Kategorien personenbezogener Daten

Besonders sensible Daten gem. Art 9 Abs 1

• Rassische oder ethnische Herkunft,

• Politische Meinungen,

• Religiöse oder weltanschauliche Überzeugungen,

• Gewerkschaftszugehörigkeit,

• Genetische Daten,

• Biometrische Daten,

• Gesundheitsdaten,

• Sexualleben sowie sexuelle Orientierung.

Datenkategorien

IKB | 08.11.2018 | Seite 12

Sonderfall: Daten über

strafrechtliche Verurteilung und

Straftaten

• Rechtmäßigkeit der Verarbeitung

• Verarbeitung nach Treu und Glauben

• Transparenz

• Zweckbindung

• Datenminimierung

• Richtigkeit der Verarbeitung

• Speicherbegrenzung

• Integrität und Vertraulichkeit

Die neuen SpielregelnGrundsätze der Datenverarbeitung (Art 5 Abs 1 DSGVO)

IKB | 08.11.2018 | Seite 13

DIE VERARBEITUNG PERSONENBEZOGENER

DATEN IST VERBOTEN

IKB | 08.11.2018 | Seite 14

Erheben

ErfassenOrganisieren

Verändern

OrdnenAbfragen

Anpassen

Speichern Auslesen

Verwenden

AbgleichenÜbermittelnVerknüpfen

Offenlegen

Einschränken

Löschen

Vernichten

In Papierform geordnet ablegen

Datenverarbeitung?

Anzünden

Kopieren

außer …

IKB | 08.11.2018 | Seite 15

• die Verarbeitung ist für die Erfüllung eines Vertrags unabdingbar

• der Verarbeiter hat eine gesetzliche Verpflichtung die Daten zu verarbeiten

• die Verarbeitung ist erforderlich um ein lebenswichtiges Interesse des Betroffenen zu schützen

• der Verarbeitung ein öffentliches Interesse bzw. eine öffentliche Gewalt zugrunde liegt

• die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen notwendig ist (Bsp.

Direktes Marketing - Erwägungsgrund 47)

• der Betroffene hat der Verarbeitung explizit zugestimmt

Dokumentationspflicht

- Verzeichnis der Verarbeitungstätigkeiten (VdV)

- Protokollierung von Datenerfassungen/-Zugriffen/-Veränderungen/-Löschungen

- Protokollierung von Betroffenenrechten und Data Breaches

Informationspflicht

- Umfassende Information an den Betroffenen

- Umfassende Auskunft an den Betroffenen

- Auskunft über Verarbeitungstätigkeiten an

Behörde (VdV) per Knopfdruck

Mehr Eigenverantwortung für Unternehmen

IKB | 08.11.2018 | Seite 16

- Rechenschaftspflicht (Art. 5 DSGVO) mit

Beweislastumkehr (Art. 82 DSGVO)

- Schadenersatzklagen durch Betroffene

- „Abmahnvereine“ oder NGO`s als Vertreter

Betroffener – „Sammelklage“ (DE, FR,…)

- Imageschaden bei Publikation von DS Verstößen

(Data Breach Notification)

- Immenser Aufwand bei der Erfüllung von

Betroffenenrechte

- Kopplungsverbot - Zustimmung muss freiwillig

erfolgen (Art. 7 Abs. 4 DSGVO & Erwägungsgrund

43)

- (Unabsichtlicher) Verstoß gegen die

Nichtverkettbarkeit

IKB | 08.11.2018 | Seite 17

Die echten Gefahren für Unternehmen

Quelle:diepresse.com

- DSGVO ist eine „GRUNDverordnung“ (lex generalis)

- E-Privacy-VO wird ein lex specialis und regelt einen

Teilbereich Die (elektronischen) Kommunikationswege

- Gilt lt. Vorschlag der EU Kommission

„…für die Verarbeitung elektronischer Kommunikationsdaten,

die in Verbindung mit der Bereitstellung und Nutzung

elektronischer Kommunikationsdienste erfolgt, und für

Informationen in Bezug auf die Endeinrichtungen der Endnutzer“

IKB | 08.11.2018 | Seite 18

DSGVO vs. E-Privacy VO

Elektronische Kommunikationsdaten

- Elektronische Kommunikationsinhalte

- Whatsapp Message: „Schatz, es wird heute etwas später“

- Kommentar auf einen Blogbeitrag

- Inhalt einer Webseite

- Daten eines Streams

- …

- Elektronische Kommunikationsmetadaten

- Gesendet von 0676 XXXX an 0664 XXXX um 17.30 Uhr

- Remote Adress: 244.123.1.5 Referer: plus.google.com/…; Request:orf.at User

Agent: Mozilla…

- L3/L4 und L7 Headers

- …

IKB | 08.11.2018 | Seite 19

E-Privacy VO I

Elektronische Kommunikationsdienste

Sämtliche Wege zur Übertragung elektronischer Kommunikation

- z.B. Whatsapp, Facebook, Skype, Gmail, …

- Browserkommunikation mit Client

- Streaming, Telefonanrufe, …

Endeinrichtung der Endbenutzer

- Smart Devices, Laptops, Tablets, etc.

- Smart TV, Streaming Devices (Apple TV, …), etc.

- „Internet of Things“ – Glühbirne, Kühlschrank, …

- „Smart-“ Auto, -Motorrad

- …

IKB | 08.11.2018 | Seite 20

E-Privacy VO II

Vertraulichkeit der Kommunikation (Art. 6)

„Verbotsgesetz mit Ausnahmeregelung“

• Verarbeitung von Kommunikationsdaten nur zulässig, wenn:

• sie zur Durchführung der Übermittlung der Kommunikation nötig ist, für

die dazu erforderliche Dauer…

• Aufrechterhaltung oder Wiederherstellung der Sicherheit

elektronischer Kommunikationsnetze…

• Kommunikationsmetadatenverarbeitung nur zulässig, wenn:

• Rechtsgrundlage vorliegt: z. B. Rechnungstellung, Vertragserfüllung, …

• Einwilligung, sofern nicht anonyme Verarbeitung möglich

• Kommunikationsinhalteverarbeitung nur zulässig, wenn:

• Bereitstellung des Dienstes

• Einwilligung, außer es ist eine anonyme Verarbeitung möglich

IKB | 08.11.2018 | Seite 21

E-Privacy VO III

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese

beziehende Informationen – Art. 8 Abs. 1

(1) Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der

Verarbeitungs-und Speicherfunktionen von Endeinrichtungen und jede Erhebung

von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software

und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

a) sie ist für den alleinigen Zweck der Durchführung eines elektronischen

Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder

b) der Endnutzer hat seine Einwilligung gegeben oder

c) sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der

Informationsgesellschaft nötig oder

d) sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom

Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung

durchführt.

IKB | 08.11.2018 | Seite 22

E-Privacy VO IV

Was will man damit erreichen?

• Privacy by design/default kommt beim Endgerät an

• Keine verdeckte Datensammlung/Nutzung mehr

• Cookies und Profiling aka Tracking ist voll erfasst

• Es dürfen nur noch first party Cookies zum eigenen

Zweck verarbeitet werden. Tracking?

Art 10 Abs. 1, forciert durch Abs. 2

IKB | 08.11.2018 | Seite 23

E-Privacy VO V

Keine Kekse

mehr…

…und was heißt das für mich? (The DSGVO Edition)

• Bewusstsein schaffen! Management sensibilisieren, Mitarbeiter Schulen.

• Dokumentieren, Dokumentieren, Dokumentieren

• Verarbeitungstätigkeiten mit Daten und Verantwortlichen (VDV)

• Rechtmäßigkeit, Zweckmäßigkeit

• Besonders „berechtigte Interessen“

• Im Zweifelsfall immer die Einwilligung einholen

• Daten, für welche keine Zweck- oder Rechtmäßigkeit mehr vorliegt, werden gelöscht!

• Prozesse einführen wie gelöscht wird

• Systeme müssen das können!

• Respektieren Sie die Betroffenenrechte!

• Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch

• Sehen Sie Prozesse zur Erfüllung vor. Proben Sie diese!

IKB | 08.11.2018 | Seite 24

Zusammenfassung

…und was heißt das für mich? (The E-Privacy-VO Edition)

• Behalten Sie die E-Privacy Verordnung im Auge!

• Betroffener soll wieder die Kontrolle über seine Daten bekommen:

• Cookies erfordern Opt-In!

• Zugriff auf 3rd Party Cookies soll Browsergesteuert werden

• Tracking soll über Browser gesteuert werden

• Einwilligung ist freiwillig und kann jederzeit widerrufen werden

• E-Mail-Marketing wird sich weiterhin am TKG orientieren

• Kommunikation übers Internet soll zukünftig verschlüsselt sein.

• Forced https

• Spannendes Thema E-Mail-Übertragung Zwingende Verschlüsselung?

• Telefonmarketing wird stärker geregelt

• Telefonanrufe zu Werbezwecken nur dann erlaubt, wenn

• der Anrufende seine Rufnummer offenbart oder

• einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf

handelt.

IKB | 08.11.2018 | Seite 25

Zusammenfassung II

Danke für die Aufmerksamkeit!

IKB | 08.11.2018 | Seite 26